Access Analyzer menyediakan fitur administrasi izin. Saat alat analisis mengidentifikasi identitas dengan hak akses berlebih, alat tersebut akan menghasilkan saran administrasi untuk membantu Anda mengurangi izin yang tidak digunakan dan menurunkan risiko keamanan secara cepat.
Fitur ini berada dalam tahap beta dan tidak mendukung semua produk. Untuk informasi selengkapnya, lihat Layanan Alibaba Cloud yang mendukung audit izin. Sebelum melakukan administrasi izin, Anda harus memverifikasi dan mengevaluasi operasi tersebut berdasarkan kebutuhan bisnis Anda.
Ikhtisar
Akses berlebih terjadi ketika identitas RAM, seperti pengguna atau peran, diberikan izin lebih banyak daripada yang dibutuhkan untuk keperluan bisnisnya. Hal ini tidak hanya meningkatkan risiko keamanan akibat kesalahan operasi atau kebocoran kredensial, tetapi juga menciptakan tantangan dalam audit kepatuhan. Audit dan pengurangan izin secara manual memakan waktu, tenaga, serta sulit dipertahankan secara berkelanjutan.
Alat analisis akses berlebih merupakan salah satu dari dua jenis Access Analyzer. Jenis lainnya digunakan untuk mengidentifikasi akses eksternal. Alat ini secara otomatis mendeteksi dan mengelola risiko keamanan yang muncul dari identitas RAM dengan hak akses berlebih, seperti Pengguna RAM dan Peran RAM. Alat ini terus-menerus menganalisis perilaku akses di akun saat ini atau direktori sumber daya, serta secara otomatis mengidentifikasi super administrator, identitas dengan hak istimewa, identitas tidak aktif, dan identitas dengan izin yang kurang dimanfaatkan. Selanjutnya, alat ini memberikan saran administrasi yang jelas dan dapat ditindaklanjuti. Berdasarkan saran tersebut, Anda dapat mengurangi izin secara aman dan efisien hanya dengan satu klik atau melalui operasi sederhana, sehingga meminimalkan risiko keamanan dan menyederhanakan pengelolaan izin.
Konsep inti
Temuan analisis
Temuan analisis adalah objek data yang dihasilkan oleh Access Analyzer dan berisi informasi utama berikut:
Jenis temuan: Kategori temuan analisis, seperti:
Pengguna/peran super administrator
Pengguna/peran dengan hak istimewa
Pengguna/peran tidak aktif
Pengguna/peran dengan hak akses berlebih
Status temuan: Status pemrosesan, seperti Pending, Resolved, atau Archived.
Informasi sumber daya: Nama, tipe, dan Pemilik sumber daya target.
Informasi waktu: Waktu pembuatan, waktu analisis, dan waktu pembaruan.
ID temuan: Pengidentifikasi unik dari temuan analisis.
Saran administrasi
Saran administrasi adalah solusi yang dihasilkan Access Analyzer untuk suatu temuan analisis, mencakup:
Ganti izin: Mengganti kebijakan yang memiliki izin luas dengan kebijakan yang cakupan izinnya lebih sempit. Misalnya, mengganti izin super administrator (
AdministratorAccess) dengan izin administrator sistem (PowerUserAccess).Hapus izin: Menghapus kebijakan akses yang tidak digunakan.
Kelola identitas: Menonaktifkan atau menghapus identitas yang tidak aktif.
Arsipkan temuan: Mengarsipkan perilaku otorisasi yang sesuai dengan ekspektasi.
Logika deteksi
Access Analyzer menggunakan logika berikut untuk menentukan jenis akses berlebih. Jika suatu identitas memenuhi beberapa kondisi, identitas tersebut diklasifikasikan ke dalam satu jenis temuan berdasarkan prioritas, dari tertinggi ke terendah.
Prioritas | Jenis temuan | Deskripsi logika |
1 | Pengguna/peran super administrator | Identitas RAM memiliki izin manajemen atas semua sumber daya dalam akun. Misalnya, identitas tersebut diberikan kebijakan akses |
2 | Pengguna/peran dengan hak istimewa | Identitas RAM diberikan izin operasi penting selain kebijakan |
3 | Pengguna/peran tidak aktif | Identitas RAM tidak mengakses sumber daya atau data apa pun dalam Idle Access Period yang ditentukan (secara default 90 hari) dan tidak memenuhi kondisi Prioritas 1 atau 2. Catatan: Pengguna atau peran yang tidak diberikan izin apa pun tidak diklasifikasikan sebagai tidak aktif, meskipun tidak aktif. |
4 | Pengguna/peran dengan hak akses berlebih | Identitas RAM memiliki izin tingkat layanan atau tingkat aksi yang tidak digunakan dalam Idle Access Period yang ditentukan dan tidak memenuhi kondisi sebelumnya. Catatan: Granularitas yang didukung bervariasi untuk layanan yang berbeda. Untuk informasi selengkapnya, lihat bagian Granularitas yang didukung dalam Batasan. |
Memulai Cepat: Kurangi izin
Anda dapat langsung menggunakan Access Analyzer untuk melakukan operasi administrasi izin dasar: menonaktifkan Pengguna RAM yang tidak aktif.
Prasyarat
Sebelum memulai, pastikan kondisi berikut terpenuhi:
Buat alat analisis: Di konsol Access Analyzer, buat alat analisis Over-privileged Access.
Miliki izin yang diperlukan: Untuk melakukan operasi administrasi, Anda memerlukan izin RAM yang sesuai. Anda harus memberikan izin
AliyunRAMAccessAnalyzerFullAccessdanAliyunRAMFullAccesskepada Operator.
Prosedur
Hasil profil
Masuk ke Konsol RAM.
Di panel navigasi sebelah kiri, klik .
Di bilah navigasi atas, pilih Wilayah tempat instans alat analisis berada.
Di tab , temukan dan klik temuan tertunda bertipe Inactive User.
Lihat dan terapkan saran administrasi
Di Finding List, pilih Pengguna RAM target yang Anda pastikan sudah tidak diperlukan lagi. Klik Finding ID yang sesuai.
Di halaman detail Analysis Finding, klik tab Governance Suggestion. Setelah menunggu sebentar, sistem akan menampilkan saran Remove Unused Identity. Klik Go to Governance.
Halaman akan dialihkan ke halaman detail pengguna di Konsol RAM. Anda kemudian dapat menonaktifkan login konsol, menonaktifkan AccessKey, atau menghapus pengguna sesuai kebutuhan.
Verifikasi hasilnya. Kembali ke konsol Access Analyzer. Anda dapat mengarsipkan temuan tersebut, atau menunggu hingga temuan tersebut secara otomatis ditandai sebagai Resolved setelah siklus analisis berikutnya.
Pedoman saran administrasi
Jika Anda sudah memahami jenis-jenis temuan, Anda dapat mengikuti pedoman berikut untuk menerapkan langkah administrasi yang sesuai untuk berbagai jenis temuan.
Kelola pengguna/peran super administrator - Ganti izin dengan izin administrator sistem
Operasi ini mengurangi izin super administrator yang tidak perlu menjadi izin administrator sistem (PowerUserAccess) yang lebih aman.
Di tab atau , temukan entri yang Finding Type adalah Pengguna/peran super administrator. Klik Finding ID tertentu.
Di halaman detail Analysis Finding, klik tab Administration Suggestion di kolom Tindakan.
Di panel Administration Suggestion, temukan saran untuk mengganti izin dengan izin administrator sistem (
PowerUserAccess).Lakukan operasi yang sesuai berdasarkan Pemilik sumber daya:
Akun saat ini: Klik Apply Suggestion. Sistem secara otomatis menyambungkan kebijakan
PowerUserAccesske identitas target, lalu melepaskan kebijakanAdministratorAccess.
Akun lintas: Sistem tidak mendukung penerapan otomatis. Klik Copy URL. Kemudian, masuk ke akun tempat sumber daya target berada, akses URL tersebut, dan ganti izin secara manual.
(Opsional) Jika alat analisis tidak memberikan saran administrasi, lihat Mengapa saran administrasi kosong?
Risiko dan rollback: Operasi ini mengubah izin inti. Sebelum melanjutkan, pastikan bahwa PowerUserAccess memenuhi kebutuhan operasional harian identitas tersebut. Jika terjadi masalah setelah operasi, segera buka Konsol RAM dan berikan kembali izin AdministratorAccess kepada identitas tersebut.
Kelola pengguna/peran super administrator - Hapus kebijakan akses yang tidak digunakan
Jika ada kebijakan sistem atau kebijakan kustom lain yang tidak digunakan yang disambungkan ke identitas super administrator, sistem juga menyarankan untuk menghapusnya. Jika beberapa kebijakan akses sesuai dengan saran administrasi, saran terpisah akan dihasilkan untuk setiap kebijakan.
Di tab atau , temukan entri yang Finding Type adalah Pengguna/peran super administrator. Klik Finding ID tertentu.
Di halaman detail Analysis Finding, klik tab Administration Suggestion di kolom Tindakan.
Di panel Administration Suggestion, temukan saran untuk menghapus kebijakan tersebut.
Lakukan operasi yang sesuai berdasarkan Pemilik sumber daya:
Akun saat ini: Klik Apply Suggestion. Sistem secara otomatis melepaskan kebijakan tersebut.
Akun lintas: Klik Copy URL. Masuk ke akun target, akses URL tersebut, dan lepaskan kebijakan secara manual.
(Opsional) Jika alat analisis tidak memberikan saran administrasi, lihat Mengapa saran administrasi kosong?
Risiko dan rollback: Pastikan bahwa kebijakan tersebut tidak lagi diperlukan. Jika Anda menghapusnya secara tidak sengaja, buka Konsol RAM dan berikan kembali kebijakan akses yang dihapus ke identitas tersebut.
Kelola pengguna/peran dengan hak istimewa - Hapus kebijakan akses penting yang tidak digunakan
Untuk pengguna/peran dengan hak istimewa, saran administrasinya adalah menghapus kebijakan akses penting yang tidak digunakan. Prosedurnya sama seperti pada Kelola pengguna/peran super administrator - Hapus kebijakan akses yang tidak digunakan.
Kelola pengguna/peran tidak aktif - Nonaktifkan atau hapus identitas
Untuk identitas yang sudah lama tidak digunakan, praktik terbaik adalah menonaktifkan atau menghapusnya guna sepenuhnya menghilangkan risiko keamanannya.
Di tab atau , temukan entri bertipe Inactive User/role. Klik Finding ID tertentu.
Di halaman detail Analysis Finding, klik tab Administration Suggestion di kolom Tindakan.
Di panel Administration Suggestion, temukan saran untuk Remove Unused Identity.
Lakukan operasi yang sesuai berdasarkan Pemilik sumber daya:
Akun saat ini: Klik Go To Manage. Halaman akan dialihkan ke halaman detail pengguna atau peran yang sesuai di Konsol RAM. Sesuai kebutuhan, Anda dapat menonaktifkan login dengan menghapus pengaturan login, menonaktifkan atau menghapus AccessKey, atau menghapus identitas tersebut.
Akun lintas: Klik Copy Resource URL. Masuk ke akun target dan akses URL tersebut untuk memproses permintaan.
(Opsional) Jika alat analisis tidak memberikan saran administrasi, lihat Mengapa saran administrasi kosong?
Kelola pengguna/peran dengan hak akses berlebih - Hapus kebijakan akses yang tidak digunakan
Untuk pengguna/peran dengan hak akses berlebih, saran administrasinya adalah menghapus kebijakan akses yang tidak digunakan. Prosedurnya sama seperti pada Kelola pengguna/peran super administrator - Hapus kebijakan akses yang tidak digunakan.
Arsipkan temuan analisis
Anda dapat mengarsipkan temuan analisis jika temuan tersebut sesuai dengan ekspektasi bisnis Anda dan tidak memerlukan tindakan lanjutan. Mengarsipkan temuan akan mengubah Finding Status dari Pending menjadi Archived.
Arsipkan satu temuan: Di kolom Tindakan pada daftar Analysis Findings atau di panel Administration Suggestion, klik Archive Finding.
Arsipkan temuan secara batch otomatis: Jika Anda ingin sistem secara otomatis mengabaikan jenis temuan analisis tertentu, seperti mengabaikan status tidak aktif dari peran tertentu, klik Save As Archive Rule. Dengan menetapkan kondisi aturan, semua temuan analisis di masa depan yang sesuai dengan aturan tersebut akan secara otomatis diarsipkan. Untuk informasi selengkapnya, lihat Arsipkan temuan analisis secara otomatis.
Lihat dan pulihkan temuan: Secara default, sistem hanya menampilkan temuan analisis yang tertunda. Untuk melihat atau memulihkan temuan analisis yang diarsipkan, di halaman Finding List, atur filter Finding Status ke Archived untuk melihat semua temuan yang diarsipkan. Untuk item yang perlu diproses ulang, klik Unarchive. Status item tersebut akan kembali menjadi Pending.
Batasan
Jenis alat analisis: Fitur ini hanya mendukung instans alat analisis bertipe Akses Berlebih. Fitur ini tidak mendukung tipe Akses Eksternal.
Granularitas yang didukung: Alat analisis akses berlebih menganalisis izin semua identitas RAM (tidak termasuk peran terkait layanan) dalam direktori sumber daya atau akun saat ini berdasarkan informasi audit izin. Jenis kebijakan, layanan Alibaba Cloud, dan granularitas yang didukung sama dengan yang digunakan dalam audit izin. Untuk informasi selengkapnya, lihat Layanan Alibaba Cloud yang mendukung audit izin. Jika suatu kebijakan berisi layanan yang tidak ada dalam daftar dukungan, alat analisis tidak dapat memberikan saran untuk menghapus izin tersebut.
Jenis kebijakan (hanya untuk penggantian super administrator): Saran administrasi untuk mengganti izin super administrator hanya mendukung kebijakan sistem
AdministratorAccess. Fitur ini tidak mendukung kebijakan administrator kustom.Konten kebijakan: Jika konten kebijakan mencakup pernyataan
DenyatauNotAction, alat analisis tidak dapat memberikan saran untuk menghapus izin tersebut.Cakupan otorisasi: Jika cakupan otorisasi izin administrator adalah Resource Group dan bukan Account, identitas tersebut tidak diidentifikasi sebagai super administrator.
Metode otorisasi: Izin dapat diberikan langsung kepada pengguna atau peran, atau diwariskan melalui kelompok pengguna. Alat analisis dapat mengidentifikasi kedua metode tersebut, tetapi tidak memberikan saran administrasi otomatis untuk izin yang diwariskan dari kelompok pengguna. Administrator harus menangani kasus-kasus ini secara manual.
Latensi data: Saran administrasi dihasilkan berdasarkan temuan analisis, dan terdapat latensi hingga 24 jam dalam menghasilkan temuan tersebut. Jika ketepatan waktu saran administrasi menjadi perhatian, Anda dapat memicu pemindaian ulang secara manual. Di halaman detail temuan analisis, klik Rescan, lalu lihat kembali saran administrasi tersebut.
FAQ
Apakah saya dapat memproses saran administrasi secara batch?
Tindakan Apply Suggestion tidak mendukung pemrosesan batch. Namun, untuk jenis saran administrasi tertentu, Anda dapat membuat aturan arsip untuk mengarsipkannya secara otomatis, yang memiliki efek yang sama seperti mengabaikannya secara batch.
Bagaimana cara memeriksa kebaruan data temuan analisis?
Di halaman daftar Analysis Findings, Anda dapat melihat bidang Update Time untuk setiap temuan. Anda juga dapat melihat Analysis Time dan Update Time di halaman detail temuan untuk memastikan ketepatan waktu datanya. Semua waktu ditampilkan dalam zona waktu lokal Anda.
Mengapa saran administrasi kosong?
Di halaman detail temuan analisis, jika tidak ada saran yang ditampilkan saat Anda mengklik Administration Suggestion, artinya Anda perlu menangani temuan tersebut secara manual. Misalnya, Anda dapat menghapus izin secara manual atau mengarsipkan temuan tersebut.
Alasan umum saran administrasi kosong meliputi hal-hal berikut:
Penggantian izin super administrator: Jika identitas RAM telah menggunakan izin yang merupakan selisih antara
AdministratorAccessdanPowerUserAccessdalam periode akses tidak aktif, alat analisis tidak dapat merekomendasikan penurunan spesifikasi izin.Hapus izin yang tidak digunakan: Jika identitas RAM telah menggunakan beberapa layanan dalam kebijakan akses dalam periode akses tidak aktif, alat analisis tidak akan menyarankan penghapusan kebijakan tersebut.
Jika izin diwariskan melalui kelompok pengguna, atau jika beberapa layanan dalam kebijakan tidak termasuk dalam cakupan yang didukung, sistem tidak akan menghasilkan saran administrasi. Untuk informasi selengkapnya, lihat Batasan.
Bagaimana cara menentukan apakah izin memenuhi kebutuhan saya?
Saat melihat temuan analisis tertentu, Anda dapat memeriksa properti utama berikut di halaman detail untuk menentukan apakah izin saat ini memenuhi kebutuhan bisnis Anda. Jika izin melebihi kebutuhan, Anda dapat menyesuaikannya berdasarkan saran administrasi atau mengoptimalkan konfigurasi izin secara manual.
Layanan yang diakses/Layanan yang diberikan:
Layanan yang diberikan menunjukkan jumlah total layanan Alibaba Cloud yang didukung yang termasuk dalam kebijakan akses yang diberikan kepada identitas. Anda dapat melihat daftar Access Records untuk detail layanan tersebut.
Layanan yang diakses menunjukkan jumlah layanan Alibaba Cloud yang terdeteksi digunakan oleh identitas selama periode tidak aktif. Layanan yang diakses diprioritaskan dalam daftar Access Records dan menampilkan waktu akses terakhir. Anda juga dapat memfilter semua layanan yang diakses selama periode tersebut.
Operasi yang diakses/Operasi yang diberikan:
Operasi yang diberikan mengacu pada jumlah total semua izin operasi yang termasuk di bawah setiap layanan yang diberikan.
Operasi yang diakses mengacu pada jumlah operasi izin yang terdeteksi digunakan oleh identitas selama periode tidak aktif.
CatatanCatatan: Granularitas audit izin bervariasi untuk layanan Alibaba Cloud yang berbeda. Beberapa layanan saat ini tidak mendukung statistik akses pada granularitas tingkat operasi. Untuk layanan tersebut, kolom Operasi yang diakses/Operasi yang diberikan akan kosong. Untuk daftar layanan yang didukung, lihat Layanan Alibaba Cloud yang mendukung audit izin.
Waktu akses terakhir: Menunjukkan waktu spesifik setiap layanan yang diakses terakhir kali diakses.
Untuk layanan Alibaba Cloud yang mendukung audit izin tingkat operasi, Anda dapat mengklik View Authenticated Operations di kolom Tindakan untuk melihat operasi spesifik yang benar-benar diakses oleh identitas dan waktu akses terakhirnya. Operasi yang ditandai dengan tag Privileged merupakan operasi penting dan memerlukan perhatian khusus.
